Milyen lehetőségek vannak az e-mailezés biztonságossá tételéhez

2022. okt. 7. | Pataki Tamás

Az e-mail biztonságról szóló cikksorozatunk első részében az e-mail biztonságossá tételének szükségességével ismerkedhet meg. Tudta, hogy az e-mail olyan, mint egy képeslap, amelyet bárki elolvashat, akinek hozzáférése van hozzá? Ha nem hiszi, olvasson tovább; az e-mailekkel való visszaélések arányára vonatkozó statisztikák meg fogják győzni.

50 éves technológiát használunk a mindennapokban

Az e-mail elve, ahogy az interneté is már nagyon régi. Az első e-mailt 51 évvel ezelőtt küldték el és nehezen találnak hasonlóan "népszerű" és tartós technológiát (elég csak a tárcsázós internetre, a floppykra vagy VHS-re gondolnunk). Ha bővebben olvasna az e-mail történetéről, úgy javasoljuk a Wikipedia e-mail szócikkét.

Az e-mail még mindig a legszélesebb körben használt kommunikációs csatorna, mindenki számára elérhető és könnyen használható. 2022-ben azonban még mindig egy fél évszázados technológiát használunk (természetesen részleges fejlesztésekkel), amelynek szerzői biztosan nem látták előre, hogy a jelenlegi módon fogjuk használni. Például az "e-mail" kezdeti időszakában a felhasználók nem is ismerték a spam, azaz a levélszemét fogalmát! Ma már csodálkoznának, hogy HTML-ben küldünk e-maileket, nagyméretű mellékletekkel, és még titkosítani is tudjuk őket.

Az e-mail könnyű használhatóságért cserébe a szinte nulla biztonsággal fizetünk. Jó, ha észben tartjuk, hogy az e-mail egyáltalán nem foglalkozik a kommunikáló felek személyazonosságával, és azok bármilyen nevet megjeleníthetnek. Ezt a hiányosságot évtizedek óta próbálják kiküszöbölni.

Az e-mail olyan, mint egy képeslap, amelyet mindenki elolvashat.

Az e-mailt a megalkotói nem titkos információk közvetítésére szánták, és csak az S/MIME protokoll továbbfejlesztése és modernizálása tette lehetővé a biztonságát. A biztonság azonban továbbra is kiegészítő jellegű, és azt a felhasználónak kell kezelnie a e-mail kliense segítségével.

Az e-mail másik nagy problémája az információ biztonsága az átvitel során; ezt nem vették figyelembe a tervezés során, és maga a MIME internetes e-mail szabvány sem tudja kezelni. Az e-mailre úgy is gondolhat, mint egy képeslapra, amely bejárja a világot, és bárki, aki találkozik vele, elolvashatja. Az e-mail célja az információ továbbítása, nem pedig annak védelme és elrejtése a többi felhasználó elől.

Az e-maileket az interneten keresztül történő továbbítás során az e-mail üzenetet továbbító szerverek közötti titkosítással lehet megvédeni a nem kívánt olvasóktól. Azonban soha se lehet biztos abban, hogy a levelezőszerverek titkosított módon kommunikálnak egymással - csak feltételezhetjük, hogy így van. Az átviteli titkosítás azonban nem foglalkozik a címzett szerverén vagy az Ön számítógépén "heverő" üzenet biztonságával. Egy illetéktelen személy még mindig elolvashatja, mivel egyszerű szövegként van tárolva.

Ha titkosítani szeretne, akkor "vegye a saját kezébe" ennek biztosítását, és használja az S/MIME protokollt az e-mail üzenetek védelmére. Ez lehetővé teszi, hogy az e-maileket ne csak aláírják, hanem titkosítani is lehessen, és így a címzett titkai megmaradnak. A következő cikkünkből megtudhatja, hogyan teheti ezt meg.

Miért kell biztosítani az e-mail kommunikációt?

Bízom benne, hogy a cikkünk új megvilágításba helyezték a titkosítás szükségességét, kérdés hogy motiválják-e arra, hogy törődjön az e-mailjei biztonságával. Ha nem, akkor ajánlunk néhány statisztikát a nyilvánosan közzétett kutatásokból.

• Az e-mailek 99,9%-át a MIME protokollon keresztül küldik, amely nem teszi lehetővé a feladó hitelesítését, és nem garantálja, hogy az üzenetet nem módosították.
• A vállalatok 90%-a nem használja a rendelkezésre álló technológiákat (DKIM, SPF és DMARC) üzleti leveleinek védelmére.
• Az FBI szerint az e-mailes visszaélések által okozott kár az elmúlt öt évben elérte a 43 milliárd dollárt.

A magánlevelezés általában nem érzékeny természetű, és ritkán érdekli a támadókat. Számukra minden bizonnyal érdekesebb, ha megpróbálnak átverni valakit egy olyan cégnél, amelytől több pénzt tudnak megszerezni.

Egy nagyon gyakori és elterjedt forgatókönyv az, amikor a vállalat egyes alkalmazottait a kollégájuk vagy a felettesük nevében támadják meg. A kollégáktól érkező e-maileket a legtöbb felhasználó biztonságosnak tartja, a vezérigazgató e-mailjeiben található utasításait pedig félnek nem végrehajtani. Ezért a támadónak csak egy bizonyos ideig (általában több hónapig) kell figyelnie és olvasnia a vállalati e-maileket, majd megfelelő célzott támadást indítani.

Elképesztő, milyen könnyű hamis feladói névvel e-mailt küldeni. Amikor e-mailt küld, bármilyen nevet használhat feladónak feltüntetve azt, így ez a támadás triviális, és akár egy gyerek is képes azt elvégezni. A támadónak még csak hozzáféréssel sem kell rendelkeznie a vállalati domainhez/postafiókhoz. Az ügyfelek elfogadják az ilyen üzenetek feladójának beállított nevét és annak hitelességét, mivel nem az ő feladatuk ellenőrizni, hogy az üzenetet valóban a megadott feladó küldte-e.

A következő rész tartalmalmából

A sorozat következő részében megtudhatja, hogyan védheti meg Ön (vagy IT-adminisztrátorai) a levelezési címeket és a feladói tartományt a spam és az Ön nevét meghamisítani próbáló csalók ellen.